角色和权限

使用Data Collector, 可以为用户和组分配角色和管道权限。

诸如Creator或Manager之类的角色使用户能够执行不同的Data Collector 任务。每个用户至少需要一个角色才能访问Data Collector

权限确定对单个管道的读取,写入和执行。用户通常需要角色和权限的组合才能执行与管道相关的任务。例如,要编辑管道,您需要创建者角色以及该管道的读写权限。

使用组可以轻松地将管道权限分配给用户集。使用LDAP身份验证时,还可以将角色分配给LDAP组。当用户属于某个组时,该用户将具有分配给该组和单个用户的访问权限的组合。

必要时,您可以将权限从一个用户或组转移到另一个用户或组。

请注意,具有管理员角色的用户具有对每个管道的完全访问权限。管道的所有者可以完全访问管道。这些用户还可以更改谁拥有管道。

角色

使用角色,您可以执行Data Collector任务。每个用户至少需要一个角色才能访问Data Collector

使用基于文件的身份验证时,必须为每个用户至少分配一个角色。

使用LDAP身份验证时,可以将角色分配给用户或组。如果用户属于某个组,则除了直接分配给该用户的角色之外,与该组关联的任何角色都将授予该用户。

Data Collector提供以下角色:

角色 任务
admin 执行任何Data Collector任务。可以执行下面列出的所有任务,以及启动和停止Data Collector,查看Data Collector配置,Data Collector指标以及日志信息。使用程序包管理器安装库。生成支持桩。
manager 启动和停止管道,监视管道,配置和重置警报。拍摄,查看和管理快照。
creator 创建和配置管道和警报,预览数据以及监视管道。导入管道。
guest 查看管道和警报以及常规监视信息。导出管道。

管道权限

管道权限确定用户对管道的访问权限。管道的所有者和具有Admin角色的用户对管道具有完全访问权限。作为管道所有者或具有Admin角色的用户,您还可以将管道权限分配给单个用户和组。

要执行与管道相关的任务,您必须具有适当的管道许可权以及与该任务关联的角色。例如,具有来宾角色的用户只有在授予其读取权限后才能查看管道。同样,要使用创建者角色编辑管道,您需要对管道具有读写权限。

要轻松启用对用户集的管道访问,请向组授予权限。例如,假设您有五个用户,它们需要读取和执行访问权限才能运行多个管道。为此,必须与这些用户共享每个管道。但是,如果用户在单个Operations组中,则只需将读取和执行访问权限分配给Operations组,而不必分别为每个用户分配权限。

要使用管道权限,请启用pipeline.access.control.enabled Data Collector配置属性,然后逐个管道地配置权限。

注意:启用后,管道所有者和具有Admin角色的用户对管道具有完全访问权限,而其他用户则无权访问。

默认情况下,pipeline.access.control.enabled属性是禁用的。禁用管道权限后,对管道的访问将基于分配给用户及其组的角色。

您可以配置以下管道权限:

权限 描述
查看和监视管道,并查看警报。查看现有快照数据。
编辑管道和告警。
执行 启动和停止管道。预览数据并拍摄快照

有关与用户和组共享管道的详细信息,请参阅共享管道。

常见任务的角色和权限

执行Data Collector任务通常需要角色和权限的组合。下表概述了执行常见任务的要求。

注意:管道所有者和具有Admin角色的用户可以执行任何与管道相关的任务,而无需考虑权限。
任务 角色 管道权限
查看管道 任何
创建管道 创建者或管理员
编辑管道 创建者或管理员 读和写
预览管道 创建者或管理员 读取并执行
启动和停止管道 经理或管理员 读取并执行
查看现有快照数据 经理或管理员
监视管道并拍摄快照 经理或管理员 读取并执行
复制管道 创建者或管理员
将管道导入到新管道 创建者或管理员
将管道导入到现有管道 创建者或管理员 读和写
导出管道 任何
共享管道并配置权限 管理员 没有
查看管道权限 任何
启动或停止Data Collector 管理员 不适用
查看日志数据和Data Collector指标 管理员 不适用
使用软件包管理器安装或卸载阶段库 管理员 不适用

转移管道权限

您可以将管道权限从一个用户或组转移到另一个用户或组。转移权限时,所有管道权限都将传递给目标用户或组。管道所有权仅从一个用户转移到另一个用户。

当用户帐户或组失效时需要转移权限,如当用户离开公司,或与StreamSets Control Hub注册时。用户更改公司职位时,您也可能会转移权限。

例如,假设一个JD用户帐户属于管道开发人员,她已经创建了多个管道,现在正在过渡到运营。作为管道创建者,JD拥有对其创建的管道的全部权利。管道即将投入生产,因此她需要读取和执行权限才能运行管道,但她应该不再能够对其进行编辑。

要处理这种情况,您可以将与JD帐户关联的所有权限转移给另一个开发用户或开发组。然后将JD分配给具有Manager角色的Ops组,并为Ops组分配对其需要运行的管道的读取和执行权限。或者,没有操作组,您只需将经理角色分配给JD用户帐户,然后编辑管道权限即可授予对JD的读取和执行权限。

传输权限时,“Transfer User and Group Permissions”对话框将列出不再存在但仍与管道权限关联的所有用户或组。这使您可以轻松地从过时的用户和组转移权限。

转移权限

您可以将所有权限从一个用户或组转移到另一个用户或组。

要更改与单个管道相关的权限,请为每个管道配置共享属性。有关更多信息,请参见共享管道。

  1. 要转移权限,请单击“Administration图标,然后单击“Transfer Permissions
    显示“Transfer User & Group Permissions 对话框。
  2. 如果列出了用户或组,请查看列表并根据需要更正建议的映射。
    在对话框的左侧,Data Collector列出了不再存在但仍具有管道许可权的所有用户或组。这使您可以轻松地从这些用户和组转移权限。
    对话框的右侧显示可用用户和组的列表。选择用户或组以接收每个映射的权限。
    或者,如果您不想转移列出的用户或组的权限,请使用“Subtract图标删除该行。
  3. 使用简单或批量编辑模式,单击“Add”图标以添加一行。
  4. 在左侧,输入要从其转移权限的用户或组的名称。
  5. 在右侧,选择用户或组以接收那些权限。

    管道所有权只能转让给另一个用户。如果您将权限从用户转移到组,并且该用户也是管道所有者,则该用户将保留所有权。具有管理员角色的用户可以根据需要将管道所有权转移给另一个用户。

    注意:您可以将权限从用户或组转移到单个用户或组。如果将同一用户或组映射到多个目标,则Data Collector会将权限转移到列表中的最后一个用户或组。
  6. 根据需要添加任意多的行和映射,然后单击“Update以保存更改 。
    权限更改将立即生效。